Configurar o filtro de entrada com base na verificação DKIM no ESA

Opções de download

PDF (512.4 KB)
Ver no Adobe Reader em vários dispositivos
ePub (470.9 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (399.3 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:6 de agosto de 2020

ID do documento:215915

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar o ESA (Email Security Appliance, dispositivo de segurança de e-mail) para tomar qualquer ação na verificação de E-mail identificado de chaves de domínio (DKIM) por meio de um filtro de conteúdo de entrada ou de uma configuração de filtro de mensagem.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

ESA
Conhecimento básico da configuração do filtro de conteúdo
Conhecimento básico da configuração dos filtros de mensagem
Centralizando o conhecimento de configuração de política, vírus e quarentena de detecção

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Etapa 1. Configurar verificação DKIM

Verifique se a verificação DKIM está habilitada. Navegue para Políticas de e-mail > Políticas de fluxo de e-mail.

Para configurar a verificação DKIM no ESA é semelhante à verificação SPF. Em Default Policy Parameters of Mail Flow Policies, basta ativar a verificação DKIM para On.

Etapa 2. Verificar ação final

Primeiro, identifique a ação a ser tomada de acordo com a verificação DKIM. Ex: soltar, adicionar uma marca ou quarentena. Se a ação final for colocar o e-mail em quarentena, revise as quarentenas configuradas.

Se você não usar o gerenciamento centralizado:

Navegue para ESA >Monitor> Quarentenas de política, vírus e epidemia.

Se você configurou o gerenciamento centralizado (SMA):

Navegue para SMA > E-mail >Quarentena de mensagem >Quarentenas de política, vírus e epidemia, conforme mostrado na imagem:

Se não houver quarentena específica para os serviços DKIM/Domain-based Message Authentication, Reporting & Conformance (DMARC)/Sender Policy Framework (SPF). É recomendável criar um.

Durante as quarentenas de política, vírus e epidemia, selecione Adicionar quarentena de política:

Aqui, você pode configurar:

Nome da quarentena: para ex., DkimQuarantine
Período de retenção: Depende das necessidades da sua empresa e da ação padrão. Após o período de retenção do e-mail, ele será excluído ou liberado e entregue, determinado pela sua seleção, conforme mostrado na imagem:

Etapa 3. Filtro de entrada para ESA

a. Criar um filtro de conteúdo de entrada para ESA:

Navegue até ESA > Políticas de e-mail > Filtros de conteúdo de entrada > Adicionar filtro.

Primeira seção: Você pode configurar o Nome, Descrição e Ordem do filtro:

Segunda seção: Adicionar condição. Você pode adicionar mais de uma condição e pode configurar mais filtros de conteúdo para tomar medidas na verificação DKIM:

Resultados de autenticação esperados e significado:

Aprovado: A mensagem passou nos testes de autenticação.
Neutro: A autenticação não foi executada.
Temperatura: Ocorreu um erro recuperável.
Erro permanente: Ocorreu um erro irrecuperável.
Falha: Falha nos testes de autenticação.
Nenhum. A mensagem não foi assinada.

Note: Requisitos de verificação DKIM: O remetente deve assinar a mensagem antes que ela possa ser verificada. O domínio de envio deve ter uma chave pública disponível no DNS para verificação.

Terceira seção: Selecione uma ação. Você pode adicionar mais de uma ação, como adicionar uma entrada de log, enviar para quarentena, descartar e-mail, notificar etc. Nesse caso, selecione a quarentena configurada anteriormente, como mostrado na imagem:

Adicionar novo filtro à política de fluxo de e-mail:

Depois que um filtro for criado. A partir do ESA, adicione o filtro em cada política de fluxo de e-mail onde você deseja verificar o DKIM com uma ação final. Navegue até ESA> Políticas de e-mail >Políticas de recebimento de e-mail, como mostrado na imagem:

Clique na coluna Filtros de conteúdo e na política de fluxo de e-mail.

Note: A ação (usar padrão) não significa que ela está configurada como Configurações de política padrão. Configure cada política de fluxo de e-mail com os filtros necessários.

b. Criar um filtro de mensagens para ESA:

Todos os filtros de mensagens são configurados a partir da CLI do ESA. Digite o comando Filters e siga as instruções:

ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- IMPORT - Import a filter script from a file.
[]> NEW
Enter filter script.  Enter '.' on its own line to end.
DKIM_Filter:
If (dkim-authentication == "hardfail" )
{
quarantine("DkimQuarantine");
}
.
1 filters added.

Depois que o filtro for criado, revise a legenda: 1 filtros adicionados.

As condições e ações a serem configuradas são as mesmas usadas pelo filtro de conteúdo de entrada.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Filtro de conteúdo de entrada:

Da interface de usuário da Web do ESA (WebUI)

a. Verifique se o filtro está configurado:

Navegue até ESA >Políticas de e-mail >Filtros de conteúdo de entrada. O filtro deve ser configurado de acordo com a ordem selecionada anteriormente na lista exibida.

b. Verifique se o filtro está aplicado:

Navegue para ESA>Políticas de e-mail >Políticas de e-mail de entrada.

O nome do filtro deve ser mostrado na coluna Filtros de conteúdo e na linha de política de fluxo de e-mail. Se a lista for ampla e você não puder ver o nome, clique na lista de filtros para identificar os filtros aplicados à diretiva.

Filtro de mensagem:

From ESA CLI:
ESA. com> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> list

Num Active Valid Name

  1           Y      Y     DKIM_Filter

A lista mostra se o filtro está configurado e ativo.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Verifique a configuração:

Você deve garantir que:

A política de fluxo de e-mail tem dkim: sobre a verificação
Há uma ação configurada em um filtro de conteúdo ou filtro de mensagem
No caso de um filtro de conteúdo, valide se o filtro está associado a um fluxo de correio

Verificar o rastreamento de mensagens:

O rastreamento de mensagens permite observar:

O resultado da verificação DKIM, por exemplo: permfail
A entrada de log configurada (se uma foi configurada)
O filtro aplicado (nome e ação tomada)

Rastreamento do ESA:

Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 From: <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 ICID 98 RID 0 To: <userb@domainb.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 Message-ID '<3903af$2r@mgt.esa.domain.com>Fri Apr 26 11:33:44 2019 Info: MID 86 DKIM: permfail body hash did not verify [final]
Fri Apr 26 11:33:44 2019 Info: MID 86 Subject "Let's go to camp!"
Fri Apr 26 11:33:44 2019 Info: MID 86 ready 491 bytes from <user@domain.com>
Fri Apr 26 11:33:44 2019 Info: MID 86 matched all recipients for per-recipient policy Allow_only_user in the inbound table
Fri Apr 26 11:33:46 2019 Info: MID 86 interim verdict using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: CASE spam negative
Fri Apr 26 11:33:46 2019 Info: MID 86 interim AV verdict using Sophos CLEAN
Fri Apr 26 11:33:46 2019 Info: MID 86 antivirus negative
Fri Apr 26 11:33:46 2019 Info: MID 86 AMP file reputation verdict : UNSCANNABLE
Fri Apr 26 11:33:46 2019 Info: MID 86 using engine: GRAYMAIL negative
Fri Apr 26 11:33:46 2019 Info: MID 86 Custom Log Entry: The content that was found was: DkimFilter
Fri Apr 26 11:33:46 2019 Info: MID 86 Outbreak Filters: verdict negative
Fri Apr 26 11:33:46 2019 Info: MID 86 quarantined to "DkimQuarantine" by add-footer filter 'DkimFilter '
Fri Apr 26 11:33:46 2019 Info: Message finished MID 86 done

Informações Relacionadas

Práticas recomendadas ESA-SPF-DKIM-DMARC
Guia do usuário final do Email Security Appliance
DKIM RFC4871
DKIM RFC8301
DKIM RFC8463
Suporte Técnico e Documentação - Cisco Systems

Colaborado por engenheiros da Cisco

Erika Valverde Chavez
Cisco TAC Engineer